Por Cristian Ocaña, Director
Según un estudio entregado este 2021 por EY, el porcentaje de empresas que declara que incluyen en su agenda de directorio trimestral a la ciberseguridad es de un 39% (29% en 2020) a nivel global. En este contexto, se hace necesario disponer de un marco legal que provea de una figura más global respecto de las obligaciones y responsabilidades de las compañías. Pretender que esto se resuelva mediante una regulación sector por sector es algo que, a ciencia cierta, carece de eficiencia, pues no se resuelve el desafío principal que es responder y actuar de manera coordinada y articulada frente a algún incidente digital que implique a uno o más rubros afectados.
De esta forma, se generarían importantes iniciativas que otorgan valor a todas las instituciones, puesto que se dispondría de un modelo que gira en torno a una estrategia destinada a la estandarización y procedimientos que evitarían un potencial caos. Hoy las obligaciones y responsabilidades institucionales, en cuanto a hechos de ciberseguridad, dependen absolutamente de las regulaciones sectoriales y solo el rubro bancario y financiero presenta algún avance.
Si vemos lo hecho por la Comisión para el Mercado Financiero (CMF) en 2020, por ejemplo, en relación con la norma RAN 20-10 “Para la Gestión de la Seguridad de la Información y Ciberseguridad”, se observa que se pretende fortalecer el resguardo digital e impulsar un equilibrio en las instituciones en cuanto a la utilización de tecnologías de la información y riesgos asociados.
Si bien pareciera ser un paso positivo de la CMF, en relación con regular la ciberseguridad en su sector, la norma termina siendo una declaración de buenas intenciones y de consejos para las instituciones bancarias y financieras, puesto que carece de un mayor compromiso de articulación y coordinación que le permita al sector adoptar metodologías y estándares comunes. De esta forma, se les traslada 100% la responsabilidad de implementar algo que se recomienda. Así, la ejecución, por el lado de las instituciones, estará sujeta a las disposiciones y condiciones propias de cada una de ellas.
Dado que no existen mediciones comunes que permitan una actuación del sector en forma colectiva, organizada y bien estructurada para responder ante hechos de ciberseguridad, ¿no debería la CMF definir un rol más activo para enfrentar la ciberseguridad de su sector? Así es que este órgano regulador debiese estar articulando y orquestando a las instituciones bancarias y financieras en torno a propósitos comunes sobre lo que se debería de llevar a cabo.
Ahora, multipliquemos esta situación por todos los demás sectores de la industria, además del mundo público, donde convergen los tres poderes del Estado. ¿No sería más razonable, por ejemplo, que la regulación de responsabilidades y obligaciones institucionales frente a la ciberseguridad tenga un cuerpo estándar que se aplique a todos por igual?
Un modelo global generaría importantes beneficios para todos. Por ejemplo, primero, habría orden y no caos con una implementación saludable y con priorización, donde todos sabrían qué hacer y cuándo. Segundo, se generaría una experiencia focalizada y conjunta, en vez de ser dispersa en cientos de temas diferentes. Tercero, la formación de expertos tendría un objetivo claro sobre el cual articular las acciones y recursos.
Un cuarto aspecto muy importante, es que se establecerían plazos con las reglas claras e iguales para todos, lo que produciría una mejor implementación de las medidas y, en definitiva, el mundo privado, público y académico le daría a la ciudadanía una respuesta colectiva mucho más efectiva y oportuna respecto del desafío central que es proveerles de protección y prevención frente a los ciberdelincuentes.